Инфо Недостаточная фильтрация входящих данных

Тема в разделе "DLE", создана пользователем dragonstyle, 8 июн 2010.

Информация :
Актуальная версия DataLife Engine 11.2
( Final Release v.11.2 | Скачать DataLife Engine | Скачать 11.2 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 11.1 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Статус темы:
Закрыта.
Модераторы: killoff
  1. dragonstyle

    dragonstyle Читатель

    Заблокирован
    Регистр.:
    17 ноя 2008
    Сообщения:
    525
    Симпатии:
    479
    Для исправления откройте файл engine/inc/files.php и найдите:
    Код:
    $serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) );
    замените на:
    Код:
            if ($member_id['user_group'] == 1) $serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) ); else $serverfile = '';
    
            if ( $serverfile != '' ) {
    
                $serverfile = str_replace( "\\", "/", $serverfile );
                $serverfile = str_replace( "..", "", $serverfile );
                $serverfile = str_replace( "/", "", $serverfile );
                $serverfile_arr = explode( ".", $serverfile );
                $type = totranslit( end( $serverfile_arr ) );
                $curr_key = key( $serverfile_arr );
                unset( $serverfile_arr[$curr_key] );
    
                if ( in_array( strtolower( $type ), $allowed_files ) )
                    $serverfile = totranslit( implode( ".", $serverfile_arr ) ) . "." . $type;
                else $serverfile = '';
    
            }
    
            if( $serverfile == ".htaccess") die("Hacking attempt!");
    Откройте файл engine/classes/thumb.class.php и найдите:
    Код:
    $this->img['des'] = imagecreatetruecolor( $this->img['lebar_thumb'], $this->img['tinggi_thumb'] );
    и добавьте выше:
    Код:
            if ($this->img['lebar_thumb'] < 1 ) $this->img['lebar_thumb'] = 1;
            if ($this->img['tinggi_thumb'] < 1 ) $this->img['tinggi_thumb'] = 1;
     
    Welho® и bobkli нравится это.
  2. bobkli

    bobkli Местный

    Регистр.:
    2 ноя 2007
    Сообщения:
    693
    Симпатии:
    116
    Зыы значить скоро новая версия ДЛЕ выйдет :D
     
  3. yavasilek

    yavasilek vasilek_gorbunok

    Регистр.:
    5 окт 2008
    Сообщения:
    1.175
    Симпатии:
    423
    это если несколько админов на сайте? а если один, то пофиг?
     
  4. BKK

    BKK

    Регистр.:
    21 окт 2009
    Сообщения:
    163
    Симпатии:
    45
    да хоть 0 админов
    один фиг дырка :D
     
  5. Plan

    Plan Постоялец

    Регистр.:
    24 май 2010
    Сообщения:
    144
    Симпатии:
    24
    Не скоро, на официальном сайте написало, новая версия появиться когда с отпуска команда выдит, а выходит она в конце июля.

    Значит будем до июля фиксы править :D
     
Статус темы:
Закрыта.